Administracion
Redes en UNIX II
Juan Hernando Vieites
jhernando@fi.upm.es
Octubre 2014
1 de redes y conexiones.
Configuracion
2 Acceso remoto.
3 de recursos.
Comparticion
Sistemas de ficheros remotos.
Autenticacion.
4 Otros servicios.
5
Seguridad en maquinas conectadas en red.
Claves privadas protegidas con contrasena
Para evitar tener que introducir repetidamente la
de una clave privada cifrada se usa ssh-agent.
contrasena
Se ejecuta ssh-agent y se ejecuta su salida en el shell:
eval ssh-agent.
El mandato ssh-add descifra las claves privadas y se las
pasa al agente para que las almacene en memoria.
jhernando@fi.upm.es UNIX: Redes en UNIX II
Administracion 4/1
Conexiones graficas remotas
Servidores X en remoto
Existen diversas herramientas para facilitar login grafico
a
una maquina remota
XDMCP es un protocolo que permite la encapsulacion
del
de red y tener un login
protocolo de X windows a traves
remoto de aspecto local.
VNC es otro protocolo que permite enviar eventos de
interfaz de una maquina a otra. Tiene servidor y clientes
especficos (RealVNC, TurboVNC, Remmina).
Tambien es posible redirigir las peticiones de X a traves
de
una conexion de ssh con ssh -X (X forwarding).
Otras alternativas son NX de NoMachine, XPra, ...
Servicios comunes
Dos servicios tpicos basadas en RPC son:
NFS (Network File System)
NIS (Network Information Service)
Conceptos basicos
Network File System (NFS) es un protocolo de sistemas
de ficheros distribuidos.
Arquitectura cliente servidor.
Implementado sobre RPC y basado en XDR (eXternal
Data Representation)
Es una de las formas mas
habituales de exportar y montar
sistemas de ficheros remotos en sistemas UNIX.
NFS v2
Primera version
abierta del protocolo e implementacion
Servidor sin estado
Obsoleto
NFS v3
Mejora de rendimiento frente a v2
Trasporte por TCP y UCP
Cerrojos proporcionados por demonios separados (lockd
y statd)
NIS+
del sistema anterior que anade:
NIS+ es una revision
Mayor seguridad (certificados y cifrado).
Organizacion
jerarquica
y replicada de servidores.
Pero una configuracion
mas
compleja.
jhernando@fi.upm.es UNIX: Redes en UNIX II
Administracion 15/1
remota
Autenticacion
de servidor NIS
Configuracion
Un servidor define un domino de autenticacion
(/etc/defaultdomain).
Gestiona y almacena las bases de datos de usuarios y las
publica a los clientes (/etc/ypserv.securenets).
El servicio funciona por medio de un demonio (ypserv).
Puede haber servidores maestros y esclavos (configurable
en /etc/default/nis).
de cliente NIS
Configuracion
Un cliente se conecta a un domino NIS con ypbind para
poder consultar la base de datos.
La autenticacion
de la contrasena
se resuelve localmente.
La configuracion
esta en /etc/yp.conf y /etc/nsswitch.
jhernando@fi.upm.es UNIX: Redes en UNIX II
Administracion 16/1
remota
Autenticacion
con LDAP
Autenticacion
LDAP es un protocolo de acceso a directorios de
(Lightweight Directory Access Protocol)
informacion
La informacion
que puede almacenar un directorio de
LDAP es generica
y se organiza jerarquicamente.
Cada objecto de la base de datos tiene un DN
(Distinguished Name) que lo identifica y una serie de
clases a las que pertenece.
El servidor de LDAP por defecto abre el puerto 389.
OpenLDAP es una implementacion de la version
LDAPv3
que funciona en casi todos los UNIX actuales.
slapd, demonio servidor de LDAP
slurpd, demonio de replicacion y actualizacion.
Bibliotecas de soporte.
Herramientas, utilidades y clientes.
Super-servidores historicos.
Proceso unico
que abre varios puertos de escucha y
despacha peticiones a esos puertos arrancando el
servidor que atiende el servicio.
El demonio inetd se configura en dos ficheros:
Programas de servicio: /etc/inetd.conf
#servicio socket proto flags usr serv
telnet stream tcp nowait root in.telnetd
time dgram udp wait root internal
Puertos estandar de servicio,/etc/services:
#nombre puerto/protocolo alias
telnet 23/tcp
time 37/udp timeserver
xinetd es una version
mejorada con mas
opciones.
Samba (http://www.samba.org)
El protocolo SMB (Server Message Block) es utilizado por
los sistemas Windows para compartir discos e impresoras.
La implementacion
UNIX del protocolo se denomina
Samba.
Samba permite a una maquina
UNIX acceder a recursos
compartidos de una red Windows.
Cuentas de usuarios.
Carpetas compartidas.
Impresoras.
Atencion
a los programas con permisos de ejecucion
privilegiada. Bit s
Ese bit otorga temporalmente al usuario que ejecuta el
programa la identidad del propietario del fichero (ej.
passwd).
Si el programa no se usa: eliminarlo.
Si se usa: mantenerlo actualizado.
Restringir su uso.
Muchos ataques se basan en explotar algun
fallo en este
tipo de programas.
Cuando se consigue hacer fallar, se pueden llevar a cabo
ataques por denegacion de servicio o acceso como el
usuario propietario del programa.
# hosts.deny
http: ALL EXCEPT LOCAL
# DenyHosts: Wed May 11 11:28:43 2011 | ALL: 200.54.194.196
ALL: 200.54.194.196
La mejor opcion
de seguridad externa son los cortafuegos
o firewalls.
Filtran conexiones pero a un nivel inferior en la pila de
protocolos que TCP wrappers.
Se pueden configurar con iptables y reglas en la tabla de
filtrado que aceptan y rechazan paquetes segun
origen y
destino.
Para facilitar la escritura de reglas existen herramientas
que se apoyan en iptables.
Verificaciones de integridad
Existen aplicaciones que comprueban periodicamente
la
integridad del sistema:
rkhunter: verifica la integridad de los ficheros de sistema.
unhide: detecta procesos ocultos.
Cuanto menos habitual sea la comprobacion
mas
difcil le
resultara al intruso detectarla e inhabilitarla.
jhernando@fi.upm.es UNIX: Redes en UNIX II
Administracion 28/1
de maquinas
Autenticacion
de identidad, IP spoofing
Suplantacion
Muchos ataques se basan en suplantar la identidad de
maquinas en las que se confa (man-in-the-middle).
La unica
es implantar autenticacion
solucion entre
maquinas.
ssh fingerprints
Es un modo de autenticacion
rudimentario para
conexiones ssh.
Se trata de un resumen de la clave publica.
Kerberos
Protocolo de autenticacion
en redes no confiables
desarrollado en el MIT.
Centraliza la autenticacion
en un servidor (KDC, Key
Distribution Center).
El sistema de concesion
de permisos se basa en testigos
autenticados.